ьб - [entries|archive|friends|userinfo]
is3

[ website | My Website ]
[ userinfo | ljr userinfo ]
[ archive | journal archive ]

[Jan. 18th, 2014|04:24 am]
Previous Entry Add to Memories Tell A Friend Next Entry
Вчера впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.

upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.
LinkLeave a comment

Comments:
From:(Anonymous)
Date:January 18th, 2014 - 11:58 am
(Link)
Не пали годноту
From:[info]phantom
Date:January 18th, 2014 - 02:29 pm
(Link)
А какой пароль был?
[User Picture]
From:[info]is3
Date:January 18th, 2014 - 04:06 pm
(Link)
987654321

Похоже, что это был временный пароль, который забыли поменять.
From:[info]phantom
Date:January 18th, 2014 - 11:29 pm
(Link)
Да, я так как-то тоже заразился через radmin.
From:[info]divisi0nbyzer0.livejournal.com
Date:April 29th, 2014 - 12:51 am
(Link)
наборы ассоциированных слов типа "я с детства угол рисовал" - надежные пароли?
[User Picture]
From:[info]is3
Date:April 29th, 2014 - 04:12 pm
(Link)
Да, надёжные.

Надёжность пароля можно проверить здесь: https://howsecureismypassword.net/